kazuakix の日記

Windows Phone とか好きです

OneDrive を騙るフィッシング メールに注意

フィッシング メールに引っかかりました

 先日、通勤電車の中でこんなメールを受信しました。

f:id:kazuakix:20171230191803p:plain
 「誰か OneDrive の共有フォルダにファイルでも入れたのかな?」と思ってリンクをクリックして、Microsoft アカウントでサインインしたところ、パスワードが間違えているという警告の後、MSN のトップページに移動しました。

・・・あ、やっちまった。アカウント奪う系の奴じゃん、これ。
即座にパスワードを変更。こんなに簡単なのに引っかかるなんて・・・。
 

メールの中身

 メールのヘッダはこんな感じ

From: OneDrive Notification <adm-replyone-drivexypgu8327iqfjols34jqgsj0221uierdsjkxzwrmqpygxw@hotmail.com>
To: "notification@onedrive.microsoft.com" <notification@onedrive.microsoft.com>

よく見たら、To: が自分宛じゃないんですね。この時点で気付かないといけませんね。

f:id:kazuakix:20171230192000p:plain
 
 メールは hotmail.com からの送信なので、 SPF とか DKIM 認証はパスしていて、スパム判定されることはありませんでした。

Authentication-Results: spf=pass (sender IP is 40.92.10.84)
 smtp.mailfrom=hotmail.com; live.jp; dkim=pass (signature was verified)
 header.d=hotmail.com;live.jp; dmarc=pass action=none header.from=hotmail.com;
Received-SPF: Pass (protection.outlook.com: domain of hotmail.com designates
 40.92.10.84 as permitted sender) receiver=protection.outlook.com;
 client-ip=40.92.10.84; helo=NAM04-CO1-obe.outbound.protection.outlook.com;
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=hotmail.com;
 s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version;
 bh=5IEtDAE8Nd+mJyZFP0M2igzReyfqkDDzzJHexjkxV+8=;
 b=TfvpIKb7HvwkX5auX73eY7pJXscMw6MTcc3wvFyKhv/0ZxAGjVC97Rh/FlHmz/cTMEvynnF7SzVuFHlqP9UWxL3ZqisQPdNNy40B+u3pMIYyuozJr4C4LX80LtLChZsFruy1nAh2FRctkZy7reHrDcspPh+O2Yj9YFzDh0J5b4GnpEiDHMPrgF0xZobyKJNQteNOjtkm8wJHZYZ6QFuQym32cwUgVcLaQYf02YHUtWW9dhYdFshfZdAMN6ZchU5STleXckT4YP7S9iDkoii9MbCc5Q8MmhMgFvd/8vguQRKzW+KjJILOPULvQ2Dl4BC+vJZ28FHJzq4POYsto7hwBg==

 
 リンク先の URL は tinyurl で隠されていますが、
https://onedrive(dot)secureliveaccess(dot)esocialmanager(dot)com/onedrive/securedocsx/valid/review/live/login/login.php (アクセスを防ぐために加工しています)
に飛んでいました。見るからに怪しい URL ですね。

f:id:kazuakix:20171230193119p:plain

 一応、https のマークも出ていますが、証明書は Let's Encrypt の無料証明書でした。無料証明書はありがたい仕組みなのですが、こういうのが増えると無料証明書すべてが怪しく見えてきてしまうのが残念です。

f:id:kazuakix:20171230193332p:plain
 

フィッシング サイトを報告しておく

 念のため、Office 365 の ATP (Advanced Threat Protection) 経由でも開いてみたのですが、すんなり開いちゃいました。このページ自体は ID、パスワードを入力させるだけ (と思われる) ため、反応しなかったのだと思いますが、こういう時こそ反応して欲しかったところです。今後に期待して URL を報告しておきます。

 Outlook on the Web であれば、メニューからフィッシング サイトとして簡単に報告できます。Outlook.com でも同様ですね。

f:id:kazuakix:20171230205209p:plain
 
 また、Edge であれば、[フィードバックの送信] - [安全でないサイトを報告する] から URL を報告することができます。こちらは SmartScreen で使われるだけなのかもしれませんが、一応報告しておきました。

f:id:kazuakix:20171230193805p:plain
 
 尚、このページは僕が開いてしまった翌日くらいには見えなくなっていたのですが、12/30 現在、またアクセスできるようになっているようです。もしかしたら、同じようなメールも飛び始めているかもしれないので注意してください。

 また、万一パスワードが漏れてしまってもすぐに被害にあうことがないように、 2 段階認証を設定しておきましょう。